ISIS12 für Kommunen und Mittelstand: Wie Städte und Gemeinden für IT-Grundschutz sorgen

BSI-zertifizierter Grundschutz ist ein recht schwieriges Unterfangen, für Unternehmen aus dem Mittelstand ebenso wie für Kommunen. Hilfestellung gibt es in Gestalt von ISIS12. Das Vorgehensmodell reduziert den IT-Grundschutz auf die wichtigsten zwölf Maßnahmen und macht den Aufwand dadurch überschaubar.

Informationssicherheit ist der erste Schritt zum Grundschutz

Von Dirk Bongardt

Das Vertrauen in Online-Dienste steht und fällt mit der Datensicherheit. Das gilt für die Bürger in den Kommunen ebenso für die Kunden von Unternehmen. Ein ordentliches Information Security Management System (ISMS) ist daher entweder praktische Notwendigkeit oder bereits vorgeschriebene Pflicht – oder beides. Eine solches Set von klaren Regeln und Verfahren aufzustellen, ist allerdings gar nicht leicht. Praktische Hilfestellung gibt es darum für Städte, Gemeinden und kleine bis mittlere Unternehmen.

Vereinfachtes Vorgehen mit ISIS12

Während die Datenmengen exponentiell wachsen, wird es immer schwieriger, in einer häufig heterogenen IT-Umgebung für deren Sicherheit zu sorgen, Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität zu wahren. Diese Herausforderungen fallen Firmen und Kommunen nicht einzeln, sondern als komplexe Gesamtaufgabe auf den Tisch. Gleichzeitig müssen Unternehmen wie Verwaltungen dabei innerhalb ihrer wirtschaftlichen und personellen Grenzen arbeiten – knappe Haushalte und dünne Personaldecken sind unbequeme, aber unumgängliche Tatsachen.

Vor diesem Hintergrund bietet der Bayerische IT-Sicherheitscluster e.V. Unterstützung an: Das Information Security Management System (ISMS) mit Namen ISIS12 zerlegt das erforderliche Vorgehen in zwölf überschaubare Schritte mit klaren Handlungs­empfehlungen. Das Informations­sicherheits­management­system entspricht den Anforderungen der „Leitlinie für die Informations­sicherheit in der öffentlichen Verwaltung“ des IT-Planungsrats. Entstanden ist es 2010 aus dem Netzwerk für Informations­sicherheit im Mittelstand (NIM) mit der Hochschule und der Universität Regensburg sowie sieben Partner­unternehmen. Ziel der gemeinsamen Bemühungen war es, ein ISMS zu entwickeln, das vor allem kleine und mittlere Unternehmen vergleichsweise einfach und kostengünstig umsetzen können.

Informationssicherheits­management in zwölf Schritten

ISIS12 (Bild: IT-Sicherheitscluster e.V. – R-Tech GmbH)

Das Informations­sicherheits­system ISIS12 besteht aus zwölf Schritten, aufgeteilt auf drei Phasen:

Initialisierungsphase
  • Schritt 1: Leitlinie erstellen
  • Schritt 2: Mitarbeiter sensibilisieren
Festlegung der Aufbau- und Ablauf­organisation
  • Schritt 3: Informations­sicherheits­team aufbauen
  • Schritt 4: IT-Dokumentations­struktur festlegen
  • Schritt 5: IT-Service­management­prozess einführen
Entwicklung und Umsetzung des ISIS12-Konzepts
  • Schritt 6: Kritische Applikationen identifizieren
  • Schritt 7: IT-Struktur analysieren
  • Schritt 8: Sicherheits­maßnahmen modellieren
  • Schritt 9: Ist-Soll vergleichen
  • Schritt 10: Umsetzung planen
  • Schritt 11: Umsetzen
  • Schritt 12: Revision

Der letzte Schritt macht deutlich, dass die Arbeit an ISIS12 niemals ganz abgeschlossen ist; ein kontinuierlicher Verbesserungsprozess ist Teil des Systems. Der Einführungsprozess sowie die Revisionszyklen werden durch ein an der Universität Regensburg eigens angepasstes Softwaretool unterstützt.

Geprüft, empfohlen und gefördert

Seit März 2015 empfiehlt der IT-Planungsrat ISIS12 als ein ISMS auf der Grundlage von IT-Grundschutz, wie ihn das BSI vorsieht, und gemäß ISO 27001 auf der Basis von IT-Grundschutz. ISIS12 ist derzeit das einzige vom IT-Planungsrat akzeptierte Verfahren, das zum BSI-IT-Grundschutz weiterentwickelt werden kann. Grundlage der Empfehlung ist ein Gutachten des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC.

Nach dem IT-Planungsrat von Bund und Ländern spricht sich inzwischen auch das Bayerische Staatsministerium des Innern, für Bau und Verkehr für das Vorgehensmodell aus und stellt kleinen bis mittelgroßen staatlichen Behörden und Kommunen finanzielle Förderungen in Aussicht. Förderberechtigt sind alle bayerischen kommunalen Gebietskörperschaften und deren Zusammenschlüsse sowie die von ihnen in öffentlich-rechtlicher Form geführten Unternehmen und Einrichtungen mit bis zu 500 Arbeitsplätzen.

Auch das sächsische Staatsministerium für Wirtschaft, Arbeit und Verkehr bietet eine Förderung an, hat dabei aber vor allem kleine und mittlere Unternehmen aus den Bereichen verarbeitendes Gewerbe, Handwerk, Handel und Dienstleistungen im Blick. Solche Unternehmen können einen nicht rückzahlbaren Zuschuss von bis zu 40 % der zuwendungsfähigen Ausgaben erhalten.

Serie: ISIS12

Vorgehensmodell-Sicherheitsmanagement-mit-ISIS12.jpg

Die Einführung erklärt, warum Kommunen in der Pflicht sind, weshalb der IT-Sicherheitscluster ISIS12 entwickelt hat und wie das System funktioniert. Der Folgebeitrag erläutert die Förderbedingungen in Bayern. Anschließend geht Sandra Wiesbeck noch genauer auf die Anforderungen an kommunale Informationssicherheit ein. Dazu gibt es einen Report von der ISIS12-Zertifizierung in Dingolfing, einen ISIS12-Anwenderbericht aus dem Landkreis Neu-Ulm und ein Interview zum EU-DSGVO-Modul sowie einen Report zur ISIS12-Zertifizierung der Universität Bamberg. Jüngste Nachträge zeichnen die Update-Entwicklung über ISIS12 2.0 und die erste Zertifizierung nach dem neuen Modell bis zur Umbennenung in CISIS12 nach. Als Extra erklärt ein Sonderbeitrag die ISA+Informations-Sicherheits-Analyse zum geordneten Einstieg in die Informationssicherheit. (Bild: Bayerischer IT-Sicherheitscluster e.V.)

Fazit: Erste Erfahrungsberichte auf der Kommunale 2015

Interessierte, die mehr über ISIS2012 erfahren wollen, sollten die Fachmesse Kommunale im Blick behalten, die 2015 am 14. und 15. Oktober im Messezentrum Nürnberg stattfindet. Im Rahmen der Veranstaltung „IT-Talk der Kommunen“ wird ISIS12 ein Vortrags- und Diskussionsthema sein. Dort wird auch Josef Pellkofer, Erster Bürgermeister der Stadt Dingolfing, über die Erfahrungen berichten, die die Kommune mit der Einführung und Umsetzung von ISIS12 gemacht hat, und im Anschluss daran für Fragen zur Verfügung stehen.

Dirk Bongardt-Quadrat.jpg

Dirk Bongardt hat vor Beginn seiner journalistischen Laufbahn zehn Jahre Erfahrung in verschiedenen Funktionen in Vertriebsabteilungen industrieller und mittelständischer Unternehmen gesammelt. Seit 2000 arbeitet er als freier Autor. Sein thematischer Schwerpunkt liegt auf praxisnahen Informationen rund um Gegenwarts- und Zukunftstechnologien, vorwiegend in den Bereichen Mobile und IT.


Dirk Bongardt, Tel.: 05262-6400216, mail@dirk-bongardt.de, netknowhow.de

Nützliche Links